ernesto belisario

Il 5 Marzo 2022, presso l’Aula Magna I Clinica Medica AOU Policlinico Umberto I (Roma), Ernesto Belisario interverrà agli Stati Generali della comunicazione per la salute con un contributo dal titolo “L’uso consapevole degli strumenti digitali nella PA: norme, sentenze e prassi”.

Il convegno si propone di sottolineare l’importanza della corretta comunicazione per la salute con il fine di contribuire alla salvaguardia del nostro SSN.

Per iscriversi all’evento: federsanita.it/

Per scaricare il programma completo clicca qui .

L'articolo Ernesto Belisario agli Stati Generali della comunicazione per la salute proviene da E-Lex.

Il 3 Marzo 2022, presso la Sala Capitolare del Palazzo della Minerva del Senato della Repubblica, Ernesto Belisario interverrà agli Stati Generali dell’Informazione sul tema “PNRR e Transizione Digitale”.

L’evento sarà trasmesso in diretta sulla WebTV del Senato e sulla piattaforma del Consiglio Nazionale Ingegneri.

L'articolo Ernesto Belisario interviene agli Stati Generali dell’Informazione proviene da E-Lex.

IPR Gorilla

Il prof. Giovanni Maria Riccio, socio dello studio, è stato nominato tra i Top IP Managing Partners nell’ambito dell’IPR Gorilla, un simposio internazionale che raccoglie gli esperti di proprietà intellettuale e di nuove tecnologie.

L'articolo Il prof. Giovanni Maria Riccio è stato nominato tra i Top IP Managing Partners nell’ambito dell’IPR Gorilla proviene da E-Lex.

Ernesto Belisario

Ernesto Belisario sarà nuovamente tra i docenti della VIII edizione di Procedamus (procedamus.it/), progetto di formazione-intervento per le Università e gli Enti di Ricerca.

La lezione, dal titolo Il Codice dell’amministrazione digitale oggi (2005-2022), è prevista per il giorno 7 ottobre 2022.

Il programma di questa edizione si articola in tre corsi di formazione frontale e nei gruppi di lavoro di Sh@rePro. Il programma dei singoli corsi, invece, sarà disponibile in prossimità dell’evento formativo e attraverso un avviso tramite mailing list di Procedamus Members e di Procedamus Informa.

Per scaricare il programma clicca qui.

L'articolo Ernesto Belisario tra i docenti della VIII edizione di Procedamus proviene da E-Lex.

A inizio febbraio 2022 Nike Inc. ha citato in giudizio StockX LLC per aver commercializzato NFT associati a immagini di scarpe del noto brand senza averne autorizzazione

A gennaio 2022 il marketplace online StockX ha lanciato negli USA un nuovo progetto basato sulla commercializzazione di NFT: StockX Vault.

Il servizio implementato dall’azienda con sede a Detroit è caratterizzato da una importante novità: per la prima volta, infatti, l’acquisto di un NFT può essere direttamente collegato con l’acquisto di un prodotto fisico, una sneaker nel caso in esame, custodita nel caveau di StockX fintanto che il proprietario dell’NFT non deciderà di richiederla per prenderne possesso (c.d. “NFT Vault”).

Brevemente, ricordiamo che i “Non-Fungible Token” sono certificati di autenticità digitale che, sfruttando la tecnologia blockchain, garantiscono l’autenticità e l’unicità del contenuto digitale.

Si tratta di una serie di informazioni sotto forma di codice digitale che rendono il contenuto a cui sono associate unico, peculiare e originale. Pertanto, chi acquista un NFT acquista la proprietà, l’unicità e l’autenticità del contenuto digitale.

A qualche giorno dal lancio di StockX Vault, però, è arrivata anche la prima contestazione.

Infatti, la multinazionale produttrice di streetwear, Nike Inc., ha citato in giudizio la piattaforma di reselling per aver commercializzato immagini di scarpe del noto brand senza essere stata autorizzata in tal senso.

In particolare, per Nike, StockX sarebbe responsabile di violazione e diluizione del marchio, nonché di concorrenza sleale.

Secondo la difesa del titolare del celebre Swoosh, StockX starebbe utilizzando in modo “preminente” i marchi Nike con l’intento di sfruttare la notorietà del brand e, dunque, l’avviamento di Nike, con la conseguenza di ingenerare confusione nei consumatori circa la provenienza dei prodotti e privando, di fatto, Nike del suo diritto esclusivo di utilizzare i suoi marchi in relazione a questo nuovo strumento commerciale.

Inoltre, la condotta del reseller sarebbe aggravata dal fatto che gli NFT in questione sono venduti a prezzi esorbitanti, circostanza che danneggerebbe la reputazione del colosso di abbigliamento sportivo.

Pertanto, Nike, oltre a chiedere il risarcimento del danno causato dalla commercializzazione delle immagini che sfrutterebbero lo Swoosh, domanda al Tribunale Federale di New York di emettere un’ingiunzione per obbligare StockX a interrompere le vendite di NFT Vault che esibiscono il marchio Nike.

La controversia tra Nike e StockX è una delle prime aventi ad oggetto la vendita degli NFT e i diritti coinvolti dalla commercializzazione degli stessi e, dunque, l’esito del procedimento consentirà di tracciare una prima linea nella regolamentazione della materia.

Maria Vittoria Aprigliano

L'articolo NFT e proprietà intellettuale: NIKE intenta causa contro StockX proviene da E-Lex.

Il Garante per la Protezione dei Dati personali, con provvedimento n. 406 del 2021, originato da un’istanza di consultazione preventiva ai sensi dell’art. 36 del GDPR, ha fornito alcune importanti indicazioni in merito al trattamento di dati per finalità di ricerca scientifica, anche con riguardo al trattamento di dati genetici.

Il Garante per la Protezione dei Dati Personali, a seguito di un’istanza di consultazione preventiva presentata ai sensi dell’art. 110 del Decreto legislativo 30 giugno 2003 n. 196 (Codice Privacy) e dell’art. 36 del Regolamento (UE) 2016/679 (cosiddetto “GDPR”), si è pronunciato sul trattamento di personali per finalità di ricerca scientifica. Nel provvedimento l’Autorità ha fornito importanti indicazioni in merito a:

• agli standard di sicurezza e alle modalità di perfezionamento degli adempimenti in materia di protezione dei dati personali in relazione al trattamento di dati genetici;
• all’informativa da rendere ai pazienti per il trattamento di dati personali finalizzato alla realizzazione di un progetto di ricerca;
• alla conservazione dei dati e all’eventualità di ulteriori trattamenti nell’ambito del trattamento dei dati per finalità di ricerca scientifica.

Anzitutto, è opportuno ricordare che il titolare del trattamento è tenuto a consultare preventivamente il Garante – nel rispetto di quanto previsto dagli artt. 36 del GDPR e 110 del Codice Privacy – laddove la valutazione d’impatto sulla protezione dei dati (art. 35 del GDPR) indichi che un trattamento di dati potrebbe configurare un rischio elevato, in assenza di misure adottate per mitigarne il rischio. Il fine della consultazione preventiva è quello di ottenere, dall’Autorità di controllo, le indicazioni necessarie per poter attuare un trattamento di dati personali non pericoloso per i diritti e le libertà degli interessati.

Qualora il titolare del trattamento non consulti il Garante nei casi in cui è obbligatorio – è bene sottolineare – il GDPR prevede l’applicazione di una sanzione amministrativa pecuniaria fino ad un massimo di 10.000.000 di euro o, se il titolare del trattamento è un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore (art. 83, par. 4, lett. a)).

• Il fatto e l’istruttoria del Garante

Il provvedimento prende origine da un’istanza di autorizzazione preventiva presentata da una ONLUS per la realizzazione di un progetto di ricerca, che richiedeva il trattamento di dati comuni e di categorie particolari di dati (art. 9 del GDPR), tra cui dati relativi alla salute e dati genetici, raccolti da 80 pazienti.

Nel corso dell’attività istruttoria svolta dal Garante, emergeva che il titolare:

• non aveva illustrato in maniera chiara le tipologie di dati oggetto di trattamento e, in particolare, se tra questi fossero ricompresi anche dati genetici;
• aveva predisposto un’informativa risultata incoerente con i principi di sinteticità, chiarezza e trasparenza, in special modo con riguardo ai tempi di conservazione;
• non aveva indicato le modalità adottate per fornire le informazioni ai pazienti arruolati non direttamente contattabili, ai sensi dell’art. 14, par. 5, lett. b, del GDPR e dell’art. 6 delle Regole deontologiche;
• aveva trasmesso all’Autorità una documentazione incoerente in merito all’eventualità di ulteriori trattamenti.

• Le valutazioni del Garante

Nel provvedimento in esame, sulla base delle questioni emerse all’esito dell’istruttoria effettuata dall’Autorità, quest’ultima espone alcune importanti valutazioni, che, di seguito, verranno sinteticamente esaminate.

• Nella documentazione trasmessa in sede di istruttoria dal titolare del trattamento, non venivano indicate le misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici oggetto di trattamento per il perseguimento degli obiettivi primari e secondari della ricerca.

A tal proposito, il Garante ha ricordato che il trattamento dei dati genetici deve avvenire anche nel rispetto delle Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del Decreto Legislativo 10 agosto 2018, n. 101, che prevedono, al punto 4, specifiche misure di carattere tecnico e organizzativo che devono essere adottate dal titolare del trattamento.

• In relazione agli oneri informativi, l’Autorità ha precisato che, in aggiunta a quanto disposto dagli artt. 13 e 14 del GDPR, le informative da fornire agli interessati devono chiarire “le modalità con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca” (punto 4.11.1 delle sopraindicate Prescrizioni).

Per quanto concerne l’informativa sul trattamento dei dati personali e le modalità di raccolta del consenso degli interessati, il provvedimento sottolinea la necessità che quest’ultima risulti coerente con i principi di sinteticità, trasparenza e intellegibilità cui all’art. 12, par. 1 del GDPR.

Il Garante, inoltre, ha posto particolare attenzione ai soggetti non contattabili, ritenendo necessaria la pubblicazione, sul sito web di tutti i partner coinvolti nelle attività di ricerca, di un’informativa, al fine di raggiungere eventuali pazienti dispersi e non raggiungibili.

• In merito alla conservazione dei dati e all’eventualità di ulteriori trattamenti, il Garante ha ricordato che la tematica della validità del consenso come condizione di liceità rispetto a trattamenti di dati per scopi di ricerca scientifica, non puntualmente delineati al momento della raccolta dei dati, è affrontata dal considerando 33 del Regolamento, secondo il quale, quando non è possibile individuare pienamente le finalità del trattamento ai fini di ricerca scientifica al momento della raccolta, dovrebbe essere consentito agli interessati di: (i) prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica; (ii) di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista.

La ratio del considerando 33 del GDPR, secondo il Garante, deve essere interpretata nel rispetto delle Linee guida 5/2020 sul consenso ai sensi del regolamento, adottate, dal Comitato europeo per la protezione dei dati (EDPB), il 4 maggio 2020, le quali chiariscono che esso non inficia gli obblighi relativi ai requisiti del consenso, con particolare riferimento a quello della granularità e della specificità.

Sulla base delle Linee guida del Comitato, l’Autorità ha evidenziato che:

• non è consentita un’ulteriore conservazione dei dati personali sulla base del cosiddetto meccanismo opt-out, vale a dire che il silenzio assenso dell’interessato non può costituire una manifestazione del consenso al trattamento ulteriore dei dati personali;
• per quanto concerne l’ulteriore conservazione dei dati e dei campioni biologici di pazienti non contattabili, il titolare del trattamento deve rispettare le disposizioni contenute nelle richiamate Prescrizioni (punto 4.11.3 e punto 5.6 del provvedimento 5 giugno 2019) e nelle osservazioni sulla cosiddetta presunzione di non incompatibilità del fine di ricerca scientifica rispetto agli scopi della raccolta formulate dal Comitato europeo (Parere 3/2019) e dal Garante europeo (Opinion del 6 gennaio 2020);
• il trattamento ulteriore deve essere accompagnato da idonee garanzie ai sensi dell’art. 89 del GDPR, prestando particolare attenzione all’implemento delle misure volte ad assicurare l’applicazione effettiva dei principi di trasparenza e di minimizzazione (artt. 5, par. 1, lett. a) e c), par. 2, 24 e 25 del GDPR).

In linea generale, laddove l’ulteriore conservazione dei dati riguardi anche pazienti per i quali non è possibile acquisire il consenso, il Garante sottolinea che il titolare del trattamento ha due alternative:

• individuare uno specifico presupposto giuridico per tale trattamento;
• rendere l’ulteriore conservazione compatibile con lo scopo principale della raccolta, evidenziando, in particolare, le ragioni per cui le ulteriori ricerche scientifiche non possono essere realizzate mediante il trattamento di dati riferiti a persone che possono rilasciare il consenso informato.

Il provvedimento, in conclusione, fornisce importanti indicazioni in merito al trattamento di dati personali per finalità di ricerca scientifica: da un lato, poiché mette in evidenza la necessità di adottare misure specifiche per la custodia e la sicurezza dei dati genetici e dei campioni biologici; dall’altro, perché chiarisce alcuni aspetti rilevanti sia in relazione agli oneri informativi, soprattutto con riguardo ai pazienti non contattabili, sia alla conservazione dei dati e all’eventualità di ulteriori trattamenti.

Alessandro Perotti

L'articolo Il trattamento di dati personali per finalità di ricerca: alcune indicazioni del Garante Privacy proviene da E-Lex.

L’AGCM sanziona Prenotazioni24 S.r.l. per pratiche commerciali scorrette ed altre condotte illecite

Con comunicazione dello scorso 10 febbraio, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha reso noto di aver sanzionato, per complessivi 900 mila euro, Prenotazioni24 S.r.l., agenzia di promozione, comparazione e rivendita online di biglietti di trasporto marittimo.

In particolare, secondo l’Autorità, l’agenzia avrebbe attuato diverse pratiche commerciali scorrette, nonché posto in essere delle condotte illecite relative alle modalità di presentazione della società e delle caratteristiche dei servizi offerti.

L’Autorità ha anche reso noto, tuttavia, che nel corso dell’istruttoria Prenotazioni24 ha già attuato interventi idonei ad impedire la prosecuzione delle condotte accertate.

Fonte: sito ufficiale dell’AGCM

AGCOM: emessi tre provvedimenti nei confronti di DAZN Italia

Con il comunicato stampa dello scorso 20 gennaio, l’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) ha reso noto di essere intervenuta nei confronti di DAZN Italia con tre provvedimenti per qualità del servizio offerto, tutela dei clienti ed indici di ascolto.

Più nello specifico, il primo provvedimento ha riguardato la definizione dei parametri di qualità per la fruizione del servizio di diffusione in live streaming delle partite: sono stati definiti parametri e criteri per gli indennizzi da corrispondere in caso di disservizi.

Con il secondo provvedimento, l’Autorità ha avviato un procedimento sanzionatorio nei confronti della Società per non aver quest’ultima dato seguito alla delibera del 7 ottobre 2021, con la quale l’AGCOM le aveva intimato di adottare un più efficace servizio di assistenza clienti.

Infine, il terzo provvedimento ha concluso un procedimento avviato dall’Autorità lo scorso 9 settembre ed avente ad oggetto la verifica della metodologia di misurazione degli indici di ascolto dei programmi trasmessi dalla Società.

Fonte: sito ufficiale dell’AGCOM

L’AGCM ritiene vessatorie le clausole delle condizioni di servizio per gli utenti di TikTok

L’AGCM ha concluso un procedimento istruttorio nei confronti della società TikTok Technology Limited, avente ad oggetto la valutazione delle clausole contenute nelle “Condizioni di Servizio per gli utenti residenti all’interno di SEE, Svizzera e Regno Unito” pubblicate dalla Società sulla sua piattaforma.

In particolare, con il provvedimento di chiusura del procedimento emesso lo scorso 18 gennaio, l’Autorità ha ritenuto vessatorie le suddette clausole in quanto determinanti un significativo squilibrio dei diritti e degli obblighi contrattuali a sfavore del consumatore, oltre ad essere formulate secondo modalità ambigue e non chiare per i giovani utilizzatori di TikTok.

Le clausole riguardano la modifica unilaterale delle condizioni e dei servizi da parte della Società, la risoluzione del contratto, la rinuncia degli utenti ai diritti sui contenuti pubblicati sulla piattaforma, le limitazioni di responsabilità a favore della Società, nonché la determinazione della legge applicabile e del foro competente.

Fonte: sito ufficiale dell’AGCM

La Suprema Corte di Cassazione si pronuncia nuovamente sul tema del secondary meaning

Con l’ordinanza n. 53/2022, depositata lo scorso 4 gennaio, la Sezione I Civile della Corte di Cassazione si è pronunciata in tema di cosiddetto secondary meaning.

In particolare, la Suprema Corte, respingendo il ricorso di un noto pastificio molisano, ha chiarito che tale fenomeno si verifica ogniqualvolta un segno, originariamente sprovvisto di capacità distintiva per genericità, mera descrittività o mancanza di originalità, si trovi successivamente ad acquisire tali qualità in conseguenza del consolidarsi del suo uso sul mercato, legittimando così il titolare del marchio ad agire in contraffazione.

La Corte ha altresì chiarito che oggetto dell’onere probatorio, in tal caso, non deve essere l’esistenza di investimenti pubblicitari in sé, bensì la rinomanza acquisita dal segno.

Fonte: DeJure banca dati

AGCOM emana parere favorevole per l’offerta di coinvestimento di TIM sulle reti ad altissima capacità

Durante la seduta dello scorso 3 gennaio, il Consiglio dell’AGCOM ha valutato, a maggioranza dei suoi membri, conforme all’art. 76 del Codice europeo delle comunicazioni elettroniche l’offerta di coinvestimento di TIM S.p.A. per la realizzazione di nuove reti ad altissima capacità (VHC) ed ha avviato una consultazione pubblica sul conseguente trattamento regolamentare della nuova rete oggetto dell’offerta.

Il provvedimento assume una certa rilevanza, dal momento che si tratta della prima applicazione delle disposizioni del suddetto Codice in materia di coinvestimento.

La consultazione pubblica sarà utile al fine di acquisire il punto di vista del mercato sulla proposta di trattamento regolamentare, prima di procedere alla notifica dello schema di provvedimento alla Commissione europea.

Fonte: sito ufficiale dell’AGCOM

L'articolo What’s new in Italy on <br>IP, Competition and Innovation</BR> n.1 – Febbraio 2022 proviene da E-Lex.

Il Garante per la protezione dei dati personali, con Deliberazione del 22 dicembre 2021, ha fissato gli indirizzi per l’attività ispettiva di iniziativa curata dall’Autorità, anche per mezzo della Guardia di Finanza, in relazione al periodo gennaio-giugno 2022.

Nel provvedimento vengono individuati i focus su cui l’Autorità intende esercitare i propri poteri di indagine, così come disciplinati dall’art. 58 del Regolamento (UE) 2016/679 (“GDPR”) e dagli artt. 157 e 158 del D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), nel primo semestre dell’anno.

*****

Analizzando il contenuto del provvedimento, emerge in maniera chiara come il Garante abbia deciso di prestare una particolare attenzione a tematiche di grande attualità, dedicandosi ad aspetti relativi a trattamenti di dati connessi all’attuale situazione pandemica (come nel caso delle corrette modalità di verifica dei Green Pass), in parte muovendosi sulla scorta di alcune recenti iniziative in merito a peculiari modalità di trattamento (ad es. videosorveglianza o le corrette modalità di gestione dei cookies).

In particolare, l’attività di ispezione sarà incentrata su:

• trattamenti di dati personali effettuati da “fornitori di database”;
• trattamenti di dati personali svolti da piattaforme e siti web, con particolare riferimento alla corretta gestione dei cookies;
• trattamento di dati personali nel settore della c.d. “videosorveglianza”;
• trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;
• utilizzo di algoritmi e intelligenza artificiale in ambito pubblico e privato.

L’attività ispettiva, inoltre, sarà indirizzata ad accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app e altri applicativi informatici tra cui, in particolare, i trattamenti di dati personali da parte di app installate sugli smartphone e altri device finalizzate alla verifica dei green pass.

Come accennato, ciascuno degli ambiti di analisi individuati dall’Autorità è già stata oggetto, negli scorsi mesi, di specifici provvedimenti e iniziative che, di seguito, vengono richiamate e schematizzate.

• Trattamenti di dati personali nei confronti di “fornitori di database”

Come noto, il Garante è intervenuto numerose volte (anche di recente) per sanzionare violazioni della normativa perpetrate a mezzo di pratiche di telemarketing aggressivo. Come noto, nella maggior parte dei casi, le attività istruttorie condotte hanno fatto emergere la responsabilità – a diverso titolo – di più soggetti coinvolti nel trattamento: dalla mancanza di controlli da parte dei titolari sulla liceità della provenienza delle liste e degli elenchi di indirizzi e contatti, fino alla carenza o invalidità di base giuridica con cui tali dati erano stati acquisiti dai responsabili (in alcuni casi anche dai subresponsabili).

Per questo motivo, in virtù del principio di accountability, è molto importante che ciascun titolare del trattamento, che decida di ricorrere a fornitori di database per le proprie iniziative di comunicazione e pubblicitarie, compia accurate verifiche in ordine alla provenienza dei dati e alla presenza di una valida base giuridica per poter procedere al trattamento.

• Trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies

Lo scorso 6 gennaio è scaduto il termine per tutti i titolari del trattamento per conformarsi alle prescrizioni indicate dall’Autorità nelle Linee guida sui cookie e altri strumenti di tracciamento. Per un dettaglio relativo alle corrette modalità di acquisizione del consenso, così come alle informazioni che il titolare del trattamento deve fornire agli interessati, si rimanda all’articolo di Marilara Coppola dello scorso 12 luglio. Le Linee guida, inoltre, forniscono indicazioni per una corretta programmazione del banner cookie, tanto con riferimento alla struttura (così da evitare fenomeni come i “dark patterns”) quanto in relazione al contenuto.

• Trattamento di dati personali nel settore della c.d. “videosorveglianza”

Per quanto concerne il trattamento di dati personali effettuati a mezzo di impianti di videosorveglianza, l’Autorità ha recentemente condotto alcune campagne informative, incentrate sul rispetto dei principi di sicurezza, trasparenza e minimizzazione del trattamento. Sul punto, i riferimenti normativi e di indirizzo più recenti sono le Linee guida 3/2019 sul trattamento di dati personali attraverso dispositivi video adottate il 29 gennaio 2020 dall’European Data Protection Board (EDPB).

Inoltre, il Garante ha pubblicato le FAQ in tema di videosorveglianza e protezione dei dati personali, che forniscono risposte in relazione a:

• Alle corrette modalità di installazione e configurazione dei sistemi di videosorveglianza;
• Alle modalità con cui informare gli interessati e alle informazioni da fornire loro;
• al rispetto del principio di minimizzazione, con specifico riferimento alla limitazione del campo di ripresa;
• ai tempi di conservazione delle immagini registrate.

• Titolari e responsabili del trattamento in relazione all’utilizzo di app e acquisizione delle informazioni da parte di app installate sugli smartphone

In riferimento a questo specifico segmento oggetto di attività ispettive, si deve in primo luogo evidenziare come sia sempre necessario prestare particolare attenzione alla corretta configurazione dei rapporti tra i soggetti del trattamento, in special modo laddove tale trattamento sia effettuato a mezzo di app e altri applicativi. Ciò naturalmente deve trovare la sua forma all’interno degli atti nomina a responsabile e negli accordi sul trattamento dei dati personali, ove devono essere specificati con chiarezza ruoli e responsabilità.

Al fine di individuare correttamente i titolari e i responsabili del trattamento, anche in relazione all’utilizzo di app, si deve fare riferimento ai principi enucleati dall’EDPB nella versione 2.0 delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021.

Per quanto concerne l’acquisizione di informazioni e dati personali da parte di app installate sugli smartphone, si segnala che l’Autorità, il 29 settembre 2021, ha avviato un’istruttoria, in collaborazione con la Guardia di Finanza, che prevede l’esame di una serie di app c.d. “rubadati”.

Nell’ambito del trattamento di dati personali da parte di app che forniscono servizi legati al tracciamento dei contatti nel contesto dell’emergenza pandemica da Covid-19, si devono ricordare leLinee Guida 4/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19, adottate dall’EDPB il 21 aprile 2020.

Gli specifici aspetti sopra menzionati costituiscono i principali aspetti su cui si focalizzeranno le attività ispettive dell’Autorità, tuttavia, si sottolinea che il Garante, indipendentemente dal piano ispettivo fissato, potrà in ogni caso svolgere ulteriori attività istruttorie di carattere ispettivo sia d’ufficio sia in relazione a segnalazioni o reclami proposti.

Andrea Pisano & Alessandro Perotti

L'articolo Le attività ispettive del Garante Privacy: pubblicato il piano ispettivo dell’Autorità per il primo semestre del 2022. proviene da E-Lex.

Con la sentenza n. 03952 del 1° dicembre 2021 (depositata l’8 febbraio 2022), la Suprema Corte di Cassazione si è pronunciata di nuovo sul tema del diritto all’oblio e, nello specifico, del bilanciamento dell’interesse a vedere “dimenticati” determinati accadimenti con il passare del tempo, da un lato, e quello dei consociati ad essere informati in merito a detti accadimenti, dall’altro.

I fatti oggetto della vicenda

Con una richiesta del 22 aprile 2015, un utente aveva inoltrato a due gestori di un motore di ricerca una richiesta fondata sul diritto all’oblio, avente ad oggetto la rimozione – dai risultati delle ricerche effettuate con detto motore – delle notizie che collegavano il nome dell’interessato a una vicenda giudiziaria risalente nel tempo.

A valle del rifiuto dei gestori di dare seguito alla richiesta, l’interessato aveva proposto ricorso all’Autorità garante per la protezione dei dati personali che, in accoglimento del ricorso, ordinava sia la rimozione degli URL sia la cancellazione delle copie cache dalle pagine accessibili tramite detti URL.

Le società impugnavano poi il provvedimento del Garante presso il Tribunale di Milano, che rigettava il ricorso con sentenza del 15 gennaio 2016, a sua volta impugnata per Cassazione.

La deindicizzazione alla luce delle pronunce della Cassazione

Nella pronuncia in esame, il Collegio si è diffusamente soffermato sul concetto e sulla ratio della cosiddetta deindicizzazione, ossia il rimedio atto ad evitare che il nome di una persona sia associato dal motore di ricerca a fatti di cui internet continua a conservare memoria.

La summenzionata pratica costituisce una declinazione del noto diritto all’oblio (in inglese, right to be forgotten) e, nello specifico, il diritto della persona a non essere trovata facilmente sulla rete (in inglese, right not to be found easily). In tal senso, la deindicizzazione consente di escludere che delle ricerche effettuate partendo dal nome di un determinato soggetto possano condurre a risultati idonei a fare conoscere ambiti della vita passata di questo che, tuttavia, non possono essere totalmente oscurati (in quanto presentano ancora un interesse per la collettività).

L’obiettivo del rimedio in commento è, pertanto, preservare l’identità digitale dei cittadini, evitando che gli utenti di internet – che ignorano il coinvolgimento della persona nelle vicende in questione – possa imbattersi in notizie riguardanti le stesse in maniera casuale o, ancora, in quanto animati “dalla curiosità di conoscere aspetti della trascorsa vita altrui di cui la rete ha ancora memoria”.

Ecco allora che la deindicizzazione costituisce il punto di incontro, per dir così, tra il diritto ad essere dimenticato, in capo al singolo, e quello all’informazione, in capo a tutti i consociati.

In tal senso, inoltre, si era già pronunciata la Corte EDU con riferimento al diritto al rispetto della vita privata (art. 8 della CEDU) e il diritto alla libertà di espressione (art. 10 della CEDU), fornendo precisi criteri per la ponderazione dei diritti in commento, tra cui il contributo della notizia ad un dibattito di interesse generale, il grado di notorietà del soggetto e della notizia, la sua veridicità, etc. (ex pluribus, Corte EDU 19 ottobre 2017, Fuchsmann c. Germania; Corte EDU 28 giugno 2018, M.L. e W.W. c. Germania).

In conclusione, la deindicizzazione attiene alla durata e alla facilità di accesso alle informazioni, ma non anche alla loro conservazione su internet.

Nel caso oggetto della pronuncia in esame, tuttavia, non era controversa la legittimità della deindicizzazione, ma, diversamente, l’ordine di procedere alla cancellazione delle copie cache delle pagine internet accessibili tramite l’URL degli articoli che trattavano della vicenda rispetto alla quale era stato esercitato il diritto all’oblio.

La conservazione delle copie cache

La copia cache su siti internet indicizzati consente al motore di ricerca di fornire una risposta più veloce ed efficace all’interrogazione posta dall’utente attraverso una o più parole chiave. La cancellazione di questa impedisce (o, comunque, rende più difficile) al motore di ricerca di indirizzare l’utente alla notizia presente sul web, a prescindere dalle chiavi di ricerca utilizzate.

Risulta evidente che, rispetto al bilanciamento di cui sopra, nella cancellazione delle copie cache occorre ravvisare una netta prevalenza del diritto alla riservatezza di una persona rispetto a quello all’informazione.

A tale proposito, il Collegio ha ricordato la Raccomandazione CM/Rec (2012) del Comitato dei Ministri del Consiglio d’Europa, la quale evidenzia che uno dei presupposti per l’esistenza di motori di ricerca efficaci è la libertà di scansionare e indicizzare le informazioni disponibili su internet, nonché che il filtraggio e il blocco dei contenuti da parte dei gestori dei motori comporta, nei fatti, una compressione del diritto all’informazione di cui all’art. 10 della CEDU.

Le conclusioni della Suprema Corte

Tanto premesso in merito alle nozioni (e alle diverse implicazioni) della deindicizzazione e della cancellazione di copie cache, la Cassazione ha concluso che il bilanciamento da compiersi con riferimento a quest’ultima non coincide con quello operante ai fini della prima.

Infatti, nel caso delle copie cache, il sacrificio del diritto all’informazione non ha ad oggetto una notizia raggiungibile attraverso una ricerca condotta a partire dal nome della persona, ma, piuttosto, la notizia in sé considera (e, in quanto tale, raggiungibile attraverso ogni diversa chiave di ricerca).

Da ciò discende il principio in base al quale – con riferimento a detta cancellazione – il giudizio di bilanciamento deve essere ancora più stringente ed avere ad oggetto il diritto all’oblio dell’interessato, da un lato, e quello alla diffusione dell’informazione in sé considerata, dall’altro.

Nel caso esaminato dalla Corte, avendo la stessa rilevato che il Tribunale di Milano (e il Garante prima) aveva calibrato il proprio ragionamento sulla vicenda personale dell’interessato, ha rinviato la causa a detto Tribunale (in diversa composizione) al fine di applicare il summenzionato principio.

Ariella Fonsi

L'articolo Cancellazione delle copie cache: la Corte di Cassazione torna sul diritto all’oblio proviene da E-Lex.

Cloud della PAPubblicati i documenti per classificare dati e servizi e qualificare i servizi delle PA

Prosegue il percorso previsto per l’adozione della Strategia nazionale sul cloud per le pubbliche amministrazioni.

L’Agenzia per la cybersicurezza nazionale ha predisposto gli atti che definiscono le modalità per la classificazione dei dati e dei servizi pubblici e i requisiti per le tipologie di qualificazione dei servizi cloud della PA.

Gli atti pubblicati fanno seguito al Regolamento per i servizi cloud pubblicato dall’Agenzia per l’Italia Digitale a dicembre 2021.

Leggi la news

Competenze digitaliNasce il Fondo Repubblica Digitale

Il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze hanno siglato un protocollo d’intesa che definisce le modalità per l’istituzione del Fondo per Repubblica Digitale, il progetto dedicato alle competenze digitali.

Il Fondo sarà alimentato dai versamenti effettuati dalle Fondazioni di origine bancaria, per un importo complessivo previsto di circa 350 milioni di euro.

Leggi la news

Spesa ICT della Pubblica Amministrazione L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT delle PA 2021

L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT della pubblica amministrazione relativo all’anno 2021.

La ricerca ha coinvolto un gruppo di 74 enti e evidenzia un aumento della spesa ICT delle amministrazioni analizzate pari a 3,7 miliardi nel 2021, in crescita rispetto ai 2,8 miliardi del 2019.

Leggi la news

ConnettivitàAl via il bando del Piano Italia a 1 Giga

È stato pubblicato il Piano “Italia a 1 Giga” con cui vengono messi a disposizione quasi 3,7 miliardi di euro dai fondi del PNRR. Il bando è uno degli interventi della Strategia nazionale per la Banda Ultra Larga che prevede anche Piani per connettere le scuole e le strutture sanitarie e per promuovere lo sviluppo delle reti 5G. Gli operatori interessati possono presentare le offerte entro il 16 marzo 2022.

Leggi la news

Sanità digitalePubblicata la seconda gara per la Sanità digitale

Consip ha pubblicato la seconda gara di Sanità Digitale che fa parte delle iniziative strategiche realizzate da Consip nell’ambito del Piano Triennale per l’informatica nella Pubblica Amministrazione.

In coerenza con la Missione 6 del PNRR (“Salute”), le iniziative sulla Sanità Digitale mettono a disposizione delle amministrazioni servizi applicativi e di supporto al processo di trasformazione digitale della Sanità pubblica.

Leggi la news

L'articolo What’s new in Italy on Digital Administration<BR> n.1 – Gennaio 2022 proviene da E-Lex.

A seguito dell’emanazione della Direttiva n. 790/2019 (c.d. “Direttiva Copyright”) e del suo recepimento, avvenuto con il d.lgs. 8 novembre 2021, n. 177, l’Italia ha novellato molteplici disposizioni della legge sul diritto d’autore (LDA) al fine di adattarla all’attuale scenario digitale.

Gli Stati membri, tuttavia, sembrano aver adottato un’impostazione non sempre uniforme dell’art.17 della Direttiva Copyright, rubricato “Utilizzo di contenuti protetti da parte di prestatori di servizi di condivisione di contenuti online”, che chiarisce i casi nei quali i prestatori di servizi compiono atti di comunicazione al pubblico, disciplinando altresì il regime di responsabilità che ne deriva.

Preliminarmente è doveroso ricordare, secondo la direttiva e il decreto di recepimento, che i prestatori di servizi sono quei soggetti che consentono il caricamento da parte degli utenti, attraverso le proprie piattaforme di file-sharing, grandi quantità di opere protette dalla LDA, comportandone così la messa a disposizione del pubblico.

Il legislatore comunitario ha, con l’inserimento dell’art.17 della Direttiva Copyright, chiarito, da un lato, il significato di “comunicazione al pubblico”, che si ha nel caso in cui il prestatore di servizi “concede l’accesso al pubblico a opere protette dal diritto d’autore o altri materiali protetti caricati dai suoi utenti”, nonché, dall’altro, disposto che gli stessi prestatori di servizi, nel momento in cui compiono atti di comunicazione al pubblico di opere protette dalla LDA, devono ottenere dai titolari di tali diritti una preventiva licenza.

Nel caso in cui la licenza non sia rilasciata, la Direttiva prevede, al paragrafo quattro dell’articolo 17, che il prestatore di servizi debba adempiere ai seguenti obblighi per essere esente da responsabilità:

• aver compiuto i massimi sforzi per ottenere un’autorizzazione, e
• aver compiuto, secondo elevati standard di diligenza professionale di settore, i massimi sforzi per assicurare che non siano disponibili opere e altri materiali specifici per i quali abbiano ricevuto le informazioni pertinenti e necessarie dai titolari dei diritti; e in ogni caso,
• aver agito tempestivamente, dopo aver ricevuto una segnalazione sufficientemente motivata dai titolari dei diritti, per disabilitare l’accesso o rimuovere dai loro siti web le opere o altri materiali oggetto di segnalazione e aver compiuto i massimi sforzi per impedirne il caricamento in futuro conformemente alla lettera b).

Dopo aver chiarito quali sono gli obblighi che il prestatore di servizi deve adempiere al fine di non essere ritenuto responsabile della pubblicazione di un’opera protetta dalla LDA da parte di un utente privo della relativa autorizzazione, al successivo paragrafo cinque, il legislatore dell’Unione europea indica, alla luce del principio di proporzionalità, quali sono gli elementi che stabiliscono se il prestatore di servizi si è conformato o meno agli obblighi di cui sopra, ossia:

• la tipologia, il pubblico e la dimensione del servizio e la tipologia di opere o altri materiali caricati dagli utenti del servizio;
• la disponibilità di strumenti adeguati ed efficaci e il relativo costo per i prestatori di servizi.

Come si evince da quanto esposto, i prestatori di servizi possono non essere responsabili della pubblicazione di contenuti protetti dalla LDA non autorizzati, purché siano rispettate le suddette condizioni.

Allo stesso tempo non viene lasciato privo di tutela il titolare dei diritti che voglia rimuovere il proprio contenuto pubblicato senza apposita licenza.

Infatti, la Direttiva Copyright non ha dimenticato di fornire una tutela ad ampio raggio anche ai titolari dei diritti dei contenuti caricati sulle piattaforme dei prestatori di servizi, imponendo, pertanto, a questi ultimi, di dar vita ad un “meccanismo di reclamo e ricorso celere ed efficace che sia disponibile agli utenti dei loro servizi in merito alla disabilitazione dell’accesso a, o alla rimozione di, specifiche opere o altri materiali da essi caricati”.

Prima dell’entrata in vigore della suddetta normativa, secondo la recente giurisprudenza della Corte di Giustizia – ad esempio, Corte di Giustizia UE, Grande Sezione, 22/06/2021 , n. 682 – i gestori di una piattaforma di condivisione di video o di una piattaforma di hosting e di condivisione di file, per il tramite della quale alcuni utenti mettevano illecitamente a disposizione del pubblico contenuti protetti, non effettuavano una “comunicazione al pubblico” di detti contenuti.

La “comunicazione al pubblico”, infatti, si sarebbe realizzata solo nel caso in cui gli stessi gestori avessero contribuito, al di là della semplice messa a disposizione della piattaforma, a consentire al pubblico l’accesso a siffatti contenuti – astenendosi dal rimuoversi o dal bloccarne immediatamente l’accesso- così integrando una violazione della LDA.

Ulteriore ipotesi di responsabilità si aveva anche nel caso di partecipazione da parte degli stessi gestori alla selezione di contenuti protetti comunicati illecitamente al pubblico tramite le proprie piattaforme, come nel caso della c.d. indicizzazione dei contenuti.

Con il nuovo articolo 17 della Direttiva Copyright, si è stabilito che il prestatore di servizi di condivisione online pone in essere sempre un atto di comunicazione al pubblico ogni volta che concede l’accesso ad opere protette dal diritto d’autore o ad altri contenuti protetti caricati dai suoi utenti, ampliando così il regime di responsabilità degli stessi prestatori di servizi e riconoscendo loro, dunque, una sorta di responsabilità semi-oggettiva qualora non abbiano rispettato le condizioni stabilite dall’art. 17 della Direttiva Copyright.

Daniele Lo Iudice

L'articolo Il recepimento della “Direttiva Copyright” – focus sull’art. 17 proviene da E-Lex.

Cloud della PAPubblicati i documenti per classificare dati e servizi e qualificare i servizi delle PA

Prosegue il percorso previsto per l’adozione della Strategia nazionale sul cloud per le pubbliche amministrazioni.

L’Agenzia per la cybersicurezza nazionale ha predisposto gli atti che definiscono le modalità per la classificazione dei dati e dei servizi pubblici e i requisiti per le tipologie di qualificazione dei servizi cloud della PA.

Gli atti pubblicati fanno seguito al Regolamento per i servizi cloud pubblicato dall’Agenzia per l’Italia Digitale a dicembre 2021.

Leggi la news

Competenze digitaliNasce il Fondo Repubblica Digitale

Il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze hanno siglato un protocollo d’intesa che definisce le modalità per l’istituzione del Fondo per Repubblica Digitale, il progetto dedicato alle competenze digitali.

Il Fondo sarà alimentato dai versamenti effettuati dalle Fondazioni di origine bancaria, per un importo complessivo previsto di circa 350 milioni di euro.

Leggi la news

Spesa ICT della Pubblica Amministrazione L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT delle PA 2021

L’Agenzia per l’Italia Digitale ha pubblicato il report sulla spesa ICT della pubblica amministrazione relativo all’anno 2021.

La ricerca ha coinvolto un gruppo di 74 enti e evidenzia un aumento della spesa ICT delle amministrazioni analizzate pari a 3,7 miliardi nel 2021, in crescita rispetto ai 2,8 miliardi del 2019.

Leggi la news

ConnettivitàAl via il bando del Piano Italia a 1 Giga

È stato pubblicato il Piano “Italia a 1 Giga” con cui vengono messi a disposizione quasi 3,7 miliardi di euro dai fondi del PNRR. Il bando è uno degli interventi della Strategia nazionale per la Banda Ultra Larga che prevede anche Piani per connettere le scuole e le strutture sanitarie e per promuovere lo sviluppo delle reti 5G. Gli operatori interessati possono presentare le offerte entro il 16 marzo 2022.

Leggi la news

Sanità digitalePubblicata la seconda gara per la Sanità digitale

Consip ha pubblicato la seconda gara di Sanità Digitale che fa parte delle iniziative strategiche realizzate da Consip nell’ambito del Piano Triennale per l’informatica nella Pubblica Amministrazione.

In coerenza con la Missione 6 del PNRR (“Salute”), le iniziative sulla Sanità Digitale mettono a disposizione delle amministrazioni servizi applicativi e di supporto al processo di trasformazione digitale della Sanità pubblica.

Leggi la news

L'articolo What’s new in Italy on Digital Administration<BR> n.1 – Febbraio 2022 proviene da E-Lex.

Un nuovo provvedimento sull’utilizzo di algoritmi nell’ambito dell’attività amministrativa arriva dal Tribunale di Latina.

Ormai siamo abituati a tante pronunce in materia dei Tribunali amministrativi ma, a seguito della privatizzazione del pubblico impiego, quando la questione concerne il rapporto tra la pubblica amministrazione e i propri dipendenti, spesso è il giudice del lavoro ad essere chiamato a decidere sulla legittimità di un procedimento.

Il caso

La vicenda oggetto dell’ordinanza n. 13497 del 28.12.2021 prende le mosse dalla presunta irregolarità della procedura per il conferimento di alcuni incarichi a tempo determinato per l’anno scolastico 2021/2022.

La ricorrente ha lamentato, in particolare, che l’Ufficio scolastico provinciale competente avrebbe assegnato incarichi di supplenza su posti di sostegno ad aspiranti docenti collocati in posizione successiva rispetto alla stessa, nonché ad aspiranti docenti con punteggio inferiore, ma su sedi non indicate in domanda dall’istante. La mancata assegnazione in proprio favore, secondo la ricorrente avvenuta in violazione delle regole della procedura, le avrebbe comportato gravi danni attuali (perdita dell’incarico e dello stipendio) e futuri (perdita di punteggio per la partecipazione a successive procedure).

Sulla base di queste considerazioni l’insegnante ha presentato ricorso d’urgenza al Tribunale di Latina, chiedendo e ottenendo la condanna del Ministero dell’Istruzione ad attribuirle l’incarico e al pagamento delle spese di lite.

Le motivazioni dell’ordinanza

La decisione del giudice si basa su un’analisi precisa della procedura scelta dall’Amministrazione per l’anno 2021/2022 per il conferimento degli incarichi.

A differenza degli anni precedenti, infatti, l’assegnazione degli incarichi di supplenza per l’anno scolastico in oggetto è stata, questa volta, completamente informatizzata e affidata ad un algoritmo che attribuisce le sedi sulla base di un incrocio tra posizione in graduatoria degli aspiranti docenti e indicazioni preferenziali da questi espresse nella domanda di partecipazione alla procedura.

Ebbene, l’impostazione della procedura, disegnata dal DM 242/2021, prevedeva una serie di conseguenze automatiche scaturenti da azioni o omissioni dei partecipanti. Tra queste ultime il giudice ha esaminato con particolare attenzione la fattispecie della “rinuncia alla sede”, che era prevista dal comma 8 dell’art. 4 dello stesso decreto e alla quale viene ricondotto il caso della ricorrente.

In particolare, per espressa previsione del decreto, la mancata indicazione di talune sedi sarebbe stata intesa quale rinuncia per le sedi non richieste.

Secondo la ricorrente, però, nel caso di rinuncia alla sede – in cui il docente ha presentato tempestivamente istanza telematica e ha quindi un chiaro interesse a partecipare alla procedura straordinaria di reclutamento supplenti ma si è reso disponibile ad assumere l’incarico solo in alcune sedi rientranti nel perimetro geografico dell’USP competente e non in altre – avrebbe comunque dovuto trovare piena applicazione il successivo comma 9 del citato art. 4, ai sensi del quale: “La mancata assegnazione dell’incarico per le classi di concorso o tipologie di posto e per le sedi richieste consente la partecipazione alle successive procedure di conferimento delle nomine a tempo determinato di cui all’articolo 2, comma 4, lettere a) e b) dell’Ordinanza ministeriale, per le quali si applicano gli articoli 4 e 5 del presente decreto in quanto compatibili”.

È qui che, secondo il giudice, ha sbagliato l’algoritmo il quale ha fatto seguire alla rinuncia della sede – che significa semplicemente “rifiutare di partecipare alla procedura per quelle sedi e non rinunciare ad alcun incarico” – le più aspre conseguenze della rinuncia all’incarico, ossia l’estromissione dell’insegnante dall’intera procedura di assegnazione delle supplenze.

La tesi del Ministero resistente respinta totalmente dal Tribunale di Latina è, invece, che la pretermissione della ricorrente dal turno di nomina dovrebbe ritenersi pienamente legittima. Ciò perché, ai sensi dell’art. 14 dell’Ordinanza Ministeriale n. 60/2020 (“la rinuncia ad una proposta di assunzione o l’assenza alla convocazione comportano la perdita della possibilità di conseguire supplenze sulla base delle GAE e GPS per il medesimo insegnamento”) – secondo il giudice non applicabile alla procedura in oggetto – la ricorrente andrebbe considerata “rinunciataria dell’incarico”.

Conclusioni

Quello in esame è un altro dei numerosi casi in cui emergono in modo tangibile i rischi legati all’automazione dei procedimenti amministrativi.

Non v’è dubbio che, come evidenziato dalla giurisprudenza in materia, l’informatizzazione comporti evidenti vantaggi di efficienza ed economicità in tutti i casi in cui l’amministrazione agisce per l’esercizio di un potere o nello svolgimento di attività negoziali.

Solo una regolamentazione certa dell’utilizzo di soluzioni basate su algoritmi e intelligenza artificiale in ambito pubblico, però, può scongiurare i rischi che inevitabilmente si prospettano accanto ai vantaggi.

Fondamentali risultano anche i controlli ex ante ed ex post sulle soluzioni impiegate nell’ambito dell’attività amministrativa.

Del resto, anche con riferimento al caso di specie, non sbilanciandosi il provvedimento sulle ragioni tecniche che in concreto hanno causato l’estromissione della ricorrente, potrebbe trattarsi tanto di un errore in fase di programmazione determinato dall’erronea interpretazione normativa propugnata dal Ministero anche in giudizio, quanto di un errore di funzionamento che, anche una soluzione ben congegnata, può fare, se non adeguatamente testata e collaudata.

In ogni caso, questa volta ci ha pensato il giudice che ha bocciato l’algoritmo e il Ministero, eccessivamente severi, salvando incarico e punteggio della docente.

Francesca Ricciulli

L'articolo Procedura informatizzata per l’assegnazione di incarichi di supplenza: un caso di discriminazione algoritmica? proviene da E-Lex.

Giovanni Maria Riccio

Giovanni Maria Riccio sarà relatore alla quarta Fourth IP & Innovation Researchers of Asia (IPIRA) Conference, che si terrà dal 9 al 12 febbraio 2022. La conferenza è organizzata dal World Intellectual Property Organization (WIPO) Academy, dalla World Trade Organization (WTO) e dalle seguenti istitutuzioni universitarie: Ahmad Ibrahim Kulliyyah of Laws, International Islamic University Malaysia; Faculty of Law, Universitas Indonesia; Nanyang Business School, Nanyang Technological University; Texas A&M University School of Law; Faculty of Law, University of Geneva.

L’accesso è libero, ma è necessario registrarsi. Ulteriori informazioni qui.

L'articolo Giovanni Maria Riccio relatore alla quarta Fourth IP & Innovation Researchers of Asia (IPIRA) Conference proviene da E-Lex.

The Austrian Data Protection Authority ruled that the use of Google Analytics by a website owner violated Chapter V GDPR (transfers of personal data to third countries or international organisations).

Google Analytics is on the verge of an astounding avalanche of complaints lodged by NOYB1, the non-profit organization chaired by the Austrian activist and lawyer Maximilian Schrems. The first of these complaints has just been discussed2 by the Austrian Data Protection Authority (DSB), who ruled that the use of Google Analytics tool is unlawful. This decision has a far-reaching effect, as it represents the tangible consequence of the recent CJEU case Schrems II and the invalidation of the Privacy Shield. With only a few legal instruments available to controllers and processors3 in addition to the new versions of the SCCs, there is still plenty of room for a guidance on EU – US data transfers.

Amid 2020, the data subject visited a .at website managed by its Austrian owner (“Controller”). The latter implemented the Google Analytics service tool on its website. Google Analytics places cookies to measure traffic characteristics, including the behavior of website visitors and the offer of targeted advertising on the website. While surfing the website, the data subject was logged with his Google account. The log allowed Google LLC, vested as the processor (“Google”, or “Processor”), to view at least his IP address, unique user identification numbers and browser settings. Due to human factors, Controller did not activate the anonymization function on Google Analytics dashboard4. The said function masks the last three digits of the end-user IP address while leaving unmasked the so-called “device fingerprinting”56. This data is meant to be sufficient for Google to single-out the data subject. Both Controller and Processor entered into the former version of the SCCs7 in order to be able to transfer the data to the U.S..

Soon after becoming aware of the type of processing conducted by and on the behalf of the Controller, the data subject, represented by NOYB, lodged a complaint before the DSB, claiming that the transfer of personal data to Google was in violation of the GDPR and the Schrems II ruling8.

The claimant complained on the violation of Chapter V, Articles 44 et seq. GDPR9 in the light of Schrems II ruling. According to the fact Privacy Shield has been held invalid, the transfer could only be possible as far as essentially equivalent measures to the EU were also available in the U.S.. As if that were not enough, the data subject complained that, since Google is an electronic communication service provider under 50 U.S. Code § 1881(b)(4), it is subject to surveillance activities by U.S. intelligence services. Therefore Google can be “cracked” and disclose to the U.S. government the transferred personal data of EU residents10. In this regard, Google stated that additional technical and security measures were in place to handle the US government requests11. DSB did not consider such measures as essentially equivalent to those available in the EU.

Regardless of the additional measures implemented in addition to the SCCs, personal data collected through Google Analytics were potentially accessible by the U.S. intelligence. This was possible even in the case Google’s anonymization and pseudonymization means were available and functioning. If the data subject was logged with his Google account while surfing the web, it was Google that, regardless of the security measures applied12, had the means to reidentifying the individual13. As a consequence, it is not excluded that Google could single-out the data subject with reasonable effort at any rate. Mutatis mutandis, this is what Recital 26 GDPR suggests when it states that the question of whether a natural person is identifiable takes into account “[…] any means reasonably likely to be used by the controller or by any other person [Google LLC] to identify the natural person, directly or indirectly, such as singling out”14. With this in mind, it is difficult to imagine a threshold where the “reasonably likely” effort of a tech giant like Google eventually turns into a disproportionate effort to single out the data subject, especially in the case of a logged account.

DSB is consistent with this interpretation of the law, and confirms that, regardless the anonymization function available as an optional setting, its implementation would not have saved the Controller from violating the GDPR. DSB expressly mentions that

“The “anonymization function of the IP address” mentioned is not relevant in relation to the case, as this was not implemented correctly […].”15

DSB continues its reasoning by stating that

“[a]part from that, the IP address is in any case only one of many “puzzle pieces” of the complainant’s digital footprint.”

As with the “device fingerprinting”, the “digital footprint” allows to cross-check data in order to date back to the data subject and single him/her out. This is what Google’s proprietary technology is potentially capable of, and this, again, is the reason why the additional measures implemented to render Google Analytics GDPR compliant on behalf of the Controller are not sufficient to close the legal protection gaps identified in the context of the Schrems II decision. Speaking of which, DSB cites the EDPB recommendations 01/2020 (paragraph 70) as the interpretation key of the Schrems II case law as applied to the case:

“[a]ny supplementary measure may only be deemed effective in the meaning of the CJEU judgment “Schrems II” if and to the extent that it addresses the specific deficiencies identified in your assessment of the legal situation in the third country. If, ultimately, you cannot ensure an essentially equivalent level of protection, you must not transfer the personal data.”

This being said, at least at this point in time and according to the DSB, Google Analytics does not ensure a level of protection which is essentially equivalent to that of the EU.

In conclusion, after the Schrems II ruling16 and the invalidation of Privacy Shield, the EU – US approach to cross-border data transfers got harsher than before. As a matter of fact, Privacy Shield was the only guidance available to EU based businesses who wished to transfer personal data to the US. The invalidation of the Privacy Shield led to a clear fragmentation of approaches available to enact EU – US data transfers; it contributed, in part, to enhance the uncertainty behind the appropriate technical, organizational and security measures to adopt in such situations. It is needless to say that Schrems II decision has shed a light on the criticalities and incompatibilities between the access to data available to the US government agencies and the fundamental rights and freedoms enforced through the GDPR. Nevertheless, as far as a definition of appropriate and correct transatlantic transfer is concerned, neither the EU, nor, let alone, the US, have reached an even position.

Edoardo Di Maggio

1 Following Schrems II decision, NOYB lodged a total of 101 complaints in different jurisdictions, noyb.eu/en/eu-us-transfers-com…

2 The fine is yet to be decided, and could go up to 20 million euros or 4% of turnover, whichever is higher.

3 Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data; Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

4 Datenschutzbehörde, Case: D155.027 2021-0.586.257, Reasons, A.7.

5 support.google.com/analytics/a….

6 “[…] the combination of cookie data and IP address [that] allows tracking and the evaluation of geographical localization, Internet connection and context of the visitor, which can be linked [to an individual’s device] (emphasis added), ut supra, fn. 4, Reasons, A.10.

7 Standard Contractual Clauses pursuant to Commission Decision 2010/87 of 05.02.2010.

8 Ut Supra, fn. 4, Reasons, A.1.

9 Ibid.

10 Ibid.

11 Ut supra, fn. 4, D.3 Heading 2.b, letters e) and f).

12 Ut supra, fn. 4, Findings of fact, C.10, “for the determination of the facts, this accountability under data protection law means that the respondent (or, in any case, the first respondent as the responsible party) – and not the complainant or the data protection authority – must provide sufficient proof. Such sufficient proof – i.e., that from a technical point of view there is no possibility for the second respondent to obtain data – was not provided in this context, especially since it is precisely an essential part of the concept of Google Analytics to be implemented on as many websites as possible in order to be able to collect data”.

13 Ut supra, fn. 4, Findings of fact, C.10.

14 Emphasis added.

15 Ut supra, fn. 5, D.3 f).

16 Court of Justice of the European Union, Case C-11/18.

L'articolo Using Google Analytics is not GDPR compliant, states the Austrian Data Protection Authority proviene da E-Lex.

Durante la sessione plenaria svoltasi lo scorso 19 gennaio, il Comitato europeo per la protezione dei dati (in inglese, “European Data Protection Board”, “EDPB”) ha adottato le Linee guida sul diritto di accesso (di seguito, “Linee guida”).

La pubblicazione di dette Linee guida è scaturita dall’esigenza di fornire maggiori chiarimenti sulla portata e sulle modalità d’esercizio di tale diritto da parte dell’interessato, nonché sulla gestione della richiesta da parte del titolare.

Inoltre, l’EDPB ha cercato di tratteggiare un significato più preciso delle nozioni di “manifesta infondatezza” ed “eccessività” della richiesta, nell’ambito delle limitazioni e restrizioni previste in materia.

Premessa: il diritto di accesso dell’interessato

Il diritto di accesso, previsto dall’art. 15 del Regolamento UE 679/2016 (cosiddetto “GDPR”), in ossequio al generale principio di trasparenza, consente all’interessato (ossia, il soggetto i cui dati sono trattati) di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardi e, in tal caso, di accedere ai dati e alle informazioni concernenti: le finalità del trattamento, le categorie di dati trattati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione o i criteri utilizzati per determinarlo, l’origine dei dati, l’esistenza di un processo decisionale automatizzato o di un trattamento transfrontaliero dei dati.

L’interessato non è tenuto a sostenere costi per l’esercizio di tale diritto. Tuttavia, se le richieste da questi avanzate sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitargli un ragionevole contributo di spese, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni.

I chiarimenti forniti dall’EDPB attraverso le Linee guida

• Scopo, struttura e modalità del diritto di accesso

Preliminarmente, le Linee guida si soffermano sull’obiettivo generale sotteso al diritto di accesso: viene ribadito che esso è finalizzato a fornire all’interessato informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei propri dati, in modo che questi possa esserne consapevole e verificarne la legittimità e l’accuratezza. Ciò, renderà più semplice – sebbene non ne rappresenti una condizione – l’esercizio degli altri diritti, quali quelli di cancellazione e di rettifica.

In secondo luogo, l’EDPB precisa che il diritto di accesso comprende tre diverse componenti:

• la conferma che sia o meno in corso un trattamento: se il titolare non tratta dati personali relativi al soggetto che richiede l’accesso, le informazioni da fornire devono limitarsi a dichiarare che nessun trattamento è in corso. Al contrario, in caso di esito affermativo della richiesta di conferma, quest’ultima può essere resa o in un’autonoma e separata dichiarazione, oppure può essere inclusa tra le informazioni da rendere successivamente all’interessato;
• l’accesso ai dati: tale componente costituisce il nucleo del diritto d’accesso. Si tratta di un accesso vero e proprio ai dati personali, e non di una mera descrizione degli stessi, per la quale sarebbe stata sufficiente la previsione legislativa sulle informative, di cui agli artt. 13 e 14 del GDPR. Al riguardo, si ritiene essere importante la precisazione che l’obbligo del titolare di consentire l’accesso – a meno che non sussistano limiti o restrizioni al diritto, di cui infra si parlerà – non dipende né dalla tipologia, né dall’origine dei dati trattati, ma opera pienamente anche laddove i dati siano stati inizialmente forniti direttamente dal soggetto richiedente;
• l’accesso alle informazioni sul trattamento: rispetto a tale terza ed ultima componente del diritto d’accesso, le Linee guida precisano che tali informazioni potrebbero essere tratte dall’informativa sul trattamento oppure dal registro delle attività di trattamento tenuto dal titolare; tuttavia, potrebbero dover essere da questi aggiornate ed adattate al momento in cui viene avanzata la richiesta.

Per quanto concerne le modalità della richiesta da parte dell’interessato, le Linee guida sottolineano che non sono previsti specifici requisiti di forma. È raccomandato al titolare di mettere a disposizione dell’interessato canali di comunicazione appropriati e facilmente utilizzabili al fine di consentirgli di presentare prontamente la sua richiesta, ma – anche laddove questa misura sia predisposta – l’interessato può scegliere di procedere diversamente, anche rivolgendosi direttamente ad un punto di contatto ufficiale del titolare (ad esempio, al responsabile della protezione dei dati, ove presente).

• Valutazione della richiesta da parte del titolare

Spostandosi, poi, sulle modalità di gestione della richiesta, l’EDPB prescrive che, nell’analizzare il contenuto della stessa, il titolare del trattamento deve valutare:

• anzitutto, se la richiesta fa riferimento a dati personali relativi al soggetto che la inoltra;
• in secondo luogo, se l’accesso in questione rientra nel campo di applicazione dell’art. 15 GDPR, o se vi sono altre – più specifiche – previsioni normative di settore che disciplinano l’accesso ai dati;
• se la richiesta di accesso si riferisce a tutti o soltanto ad una parte dei dati trattati (se nulla è indicato, deve intendersi riferita alla totalità dei dati).

È specificato che il titolare non è tenuto a rispondere a richieste inviate in modo del tutto casuale o errato.

Quando il titolare non è in grado di identificare il soggetto che avanza la richiesta, deve informare quest’ultimo di tale circostanza e può declinare la stessa, a meno che l’interessato non fornisca ulteriori supplementari informazioni che consentano l’identificazione.

La richiesta di informazioni supplementari deve essere proporzionata alla tipologia di dati trattati e ai danni che potrebbero verificarsi, al fine di evitare un’eccessiva raccolta di dati (in ossequio al principio di pertinenza).

Nelle ultime pagine del documento, è allegato un utile diagramma di flusso riepilogativo di tutti i passaggi che, ai fini della valutazione, il titolare è tenuto ad effettuare.

• Modalità di fornitura dei dati

Le modalità di fornitura dei dati da parte del titolare variano a seconda del volume dei dati e della complessità del trattamento. La documentazione relativa ai dati e alle altre informazioni sul trattamento deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Più specifici requisiti al riguardo dipendono dal contesto del trattamento e dalla capacità dell’interessato di comprendere il contenuto delle comunicazioni. Se i dati da fornire consistono in codici o in altri dati c.d. “grezzi”, sarebbe opportuno provvedere ad adeguate spiegazioni.

La principale modalità di fornitura è la trasmissione, da parte del titolare, di una copia dei dati oggetto di trattamento. Se la richiesta è presentata in forma elettronica, anche la copia – salvo diverse indicazioni – deve essere fornita in un formato elettronico di uso comune. Nel caso in cui i dati siano inviati mediante mezzi elettronici, devono essere assicurate tutte le garanzie necessarie ad evitare rischi, tenendo conto della natura dei dati e del contesto del trattamento.

Altre modalità – come una comunicazione orale oppure l’accesso in loco – possono essere previste, se richieste dall’interessato.

Quando il volume dei dati è molto ampio o quando il trattamento è connotato da una certa complessità, una modalità di fornitura dei dati suggerita dalle Linee guida è quella di un “approccio a strati” (“layered approach”): fornire i dati e le informazioni su diversi livelli può facilitarne la comprensione da parte dell’interessato. In tali casi, il titolare deve essere in grado di dimostrare che l’approccio stratificato ha un valore aggiunto per l’interessato. In ogni caso, se richiesto dall’interessato, anche in tali più complesse ipotesi i dati e le informazioni devono essere forniti contemporaneamente.

La valutazione della richiesta deve riflettere la situazione esistente al momento in cui la richiesta è stata ricevuta: ad esempio, i dati che sono già stati cancellati e che, quindi, non sono più disponibili, non devono essere forniti.

• Limiti e restrizioni al diritto di accesso

Infine, le Linee guida si soffermano sulle limitazioni e restrizioni al diritto di accesso previste dal Regolamento, che sono le seguenti:

• il diritto di ottenere una copia dei dati oggetto di trattamento non deve ledere i diritti e le libertà altrui (art. 15, n. 4): a tal riguardo, è importante la precisazione, contenuta nelle Linee guida, per cui tale bilanciamento debba essere posto in essere non soltanto in caso di accesso ai dati mediante fornitura di una copia, ma anche se lo stesso avviene con altri mezzi. Inoltre, il titolare deve essere in grado di dimostrare i diritti e le libertà che sarebbero compromessi nella specifica situazione;
• il titolare può respingere richieste che siano “manifestamente infondate” o “eccessive” (art. 12, n. 5): l’EDPB tratteggia un significato più preciso di tali sfumate espressioni, che sinora si sono prestate a diverse interpretazioni, precisando che i concetti devono essere intesi in maniera maggiormente restrittiva.

In particolare, la “manifesta infondatezza” può essere invocata solo quando i requisiti prescritti dal Regolamento per la richiesta sono palesemente non soddisfatti, alla stregua di un criterio prettamente oggettivo. L’EDPB sottolinea, a tal proposito, che non rientrano, tra tali ipotesi, le richieste relative ad un trattamento di dati non soggetto all’applicazione del GDPR (in tal caso, la richiesta non dovrebbe essere proprio qualificata come tale). Altresì, una richiesta non deve essere ritenuta manifestamente infondata solo perché proveniente da un soggetto che ha in precedenza presentato richieste inammissibili o errate, o solo perché è utilizzato dal richiedente un linguaggio scorretto o improprio.

Per “eccessività” della richiesta, invece, le Linee guida precisano che, sebbene all’interno del Regolamento non vi sia una definizione di tale concetto, l’inciso contenuto nell’art. 12, n. 5 GDPR che recita “in particolare, per il loro carattere ripetitivo”, consente di concludere che il principale scenario applicativo di tale filtro sia legato alla quantità di richieste avanzate da un determinato interessato, senza che tra una richiesta e l’altra sia trascorso un ragionevole intervallo di tempo.

In ogni caso, il titolare deve essere in grado di comprovare il carattere manifestamente infondato o eccessivo di una richiesta.

• Infine, le Linee guida rammentano che restrizioni al diritto di accesso possono anche essere previste dal diritto nazionale degli Stati membri, come sancito dall’ art. 23 GDPR. I titolari che intendono avvalersi di tali restrizioni devono verificare i requisiti richiesti dalle disposizioni nazionali, prestando attenzione alle specifiche condizioni cui le stesse possono essere subordinate: ad esempio, può essere prevista una proroga solo temporanea all’esercizio del diritto di accesso, oppure una restrizione applicabile soltanto a determinate categorie di dati personali.

Gabriella Amato

L'articolo L’EDPB ha adottato le Linee guida sul diritto d’accesso dell’interessato proviene da E-Lex.

Recentemente, una pronuncia del TAR Lazio (la n. 10814 del 2021) ha chiarito i limiti entro i quali è ammessa la divulgazione di informazioni su giochi, scommesse con vincite di denaro, nonché gioco d’azzardo, nel rispetto del divieto imposto dalla normativa vigente, in un procedimento avente ad oggetto la richiesta di annullamento di un ordine di ingiunzione dell’Autorità per le garanzie nelle comunicazioni (“AGCOM” o “Autorità”).

La disciplina: il divieto di pubblicità diretta ed indiretta del gioco d’azzardo

Giova, anzitutto, compiere un breve excursus della normativa vigente in ambito di giochi, scommesse e gioco d’azzardo, nonché della relativa attività promozionale e pubblicitaria.

Nello specifico, il decreto-legge del 12 luglio 2018, n. 87 (“Disposizioni urgenti per la dignità dei lavoratori e delle imprese”1), all’art. 9 del Capo III, intitolato “Misure per il contrasto alla ludopatia” sancisce il divieto di qualsiasi forma di pubblicità, anche indiretta, relativa a giochi o scommesse con vincite di denaro, in qualsiasi modo effettuata e con qualunque mezzo, incluse le manifestazioni sportive, culturali o artistiche, le trasmissioni televisive radiofoniche, la stampa quotidiana e periodica, le pubblicazioni in genere, le affissioni e internet.

Si intendono vietate altresì le sponsorizzazioni di eventi, attività, manifestazioni, programmi, prodotti o servizi e a tutte le altre forme di comunicazione di contenuto promozionale, comprese le citazioni visive e acustiche e la sovraimpressione del nome, marchio, simboli, attività o prodotti relativi al gioco e/o alle scommesse.

Il divieto di promuovere il gioco d’azzardo incontra, ad ogni modo, alcuni limiti che il predetto articolo 9 disciplina tassativamente. Difatti, è precisato che il divieto non vige con riferimento alle sole lotterie nazionali ad estrazione differita, nonché le manifestazioni di sorte locali e i loghi sul gioco sicuro.

In caso di mancato rispetto del già menzionato divieto, è prevista l’irrogazione di una sanzione pecuniaria amministrativa di importo pari al 20 percento del valore della pubblicità e/o della sponsorizzazione e, in ogni caso, non inferiore, per ogni violazione, ad euro 50 mila. L’autorità competente per la contestazione e la successiva irrogazione della sanzione è l’AGCOM, secondo quanto disciplinato dalla legge n. 689 del 1981.

La ratio del divieto di pubblicità diretta ed indiretta del gioco d’azzardo è rinvenibile nella maggior tutela da garantire al consumatore e nel rendere più efficace l’azione di contrasto al crescente fenomeno della ludopatia.

Al fine di chiarire l’ambito applicativo dell’art. 9, l’AGCOM ha pubblicato delle Linee guida, con la delibera n. 132/19/CONS, le quali mirano a fornire delle delucidazioni interpretative sulla vigenza del divieto2.

In particolare, le Linee guida, oltre a ribadire i principi ispiratori per la promulgazione della normativa3, hanno chiarito l’ambito di applicazione soggettivo-territoriale, oggettivo e temporale. Merita soffermarsi – per quanto rileva in questa sede – sull’ambito oggettivo della norma. L’AGCOM chiarisce che l’art. 9 prevede il divieto di qualsiasi forma di pubblicità, tra le quali, possono annoverarsi, inter alia, la distribuzione di gadget brandizzati dei prodotti di gioco, l’organizzazione di eventi con premi, le manifestazioni a premio etc.

Tuttavia, l’Autorità precisa che sono escluse dal divieto quelle comunicazioni di carattere informativo, fornite dagli operatori di gioco legale. Quindi, non possono considerarsi sponsorizzazioni le informazioni relative alle caratteristiche dei prodotti e dei servizi di gioco offerto, se rilasciate nel contesto in cui si offre il servizio di gioco a pagamento. A titolo esemplificativo, le informazioni possono riguardare le quote, il jackpot, le probabilità di vincita, le puntate minime e gli eventuali bonus offerti.

Non consistono, altresì, in pubblicità quelle informazioni rese su richiesta della clientela, nei limiti della stessa e capaci – rectius, le informazioni – a consentire scelte di gioco consapevoli.

Il fatto

La vicenda in esame prendeva le mosse dalla delibera n. 22/22/CONS, con la quale l’AGCOM ingiungeva nei confronti di una società (la “Società”) il pagamento di una sanzione di euro 50 mila per aver violato l’art. 9 del decreto-legge del 12 luglio 2018, n. 87 e di ogni altra disposizione ad esso connesso, tra cui le Linee guida sulle modalità attuative del predetto articolo.

L’Autorità ravvisava la violazione nella presenza di un contenuto pubblicato sul sito web della Società consistente in un collegamento ipertestuale alla pagina web del sito internet “Wisecasino.net”, una piattaforma di gioco, e dunque, ritenendolo attività promozionale indiretta del gioco a pagamento, di cui al divieto all’art. 9.

La Società decideva di ricorrere dinanzi al T.A.R Lazio impugnando l’ordinanza, formulando i seguenti tre motivi:

• insussistenza ed erronea rappresentazione del presupposto di fatto;
• illegittimità costituzionale dell’art. 9 del decreto-legge n. 96 del 2018 per contrasto con gli artt. 49-55, 56-62, 101-102 del TFUE, della Direttiva SMAV del 14 novembre 2018, nonché la Risoluzione del Parlamento europeo del 10 settembre 2013;
• illegittimità costituzionale dell’art 9 del decreto-legge n. 96 del 2018 per contrasto con gli artt. 3 e 41 della Costituzione e per violazione del principio del legittimo affidamento, proporzionalità e del principio di certezza del diritto.

Con riguardo al primo motivo, la Società sosteneva che i contenuti pubblicati sul sito non avessero natura pubblicitaria e non si configurasse pubblicità indiretta alla piattaforma di gioco, bensì si trattava di mera comunicazione avente esclusiva finalità descrittiva, informativa e identificativa dell’offerta di gioco legale, funzionale a consentire una scelta di gioco consapevole.

La Società, con il secondo motivo, deduceva in giudizio l’incompatibilità del divieto dell’art. 9 del citato decreto-legge e i principi comunitari riguardanti le regole di concorrenza e le libertà di stabilimento e di prestazione dei servizi.

Infine, sulla scorta del terzo motivo, la Società adduceva il contrasto della normativa in analisi con l’art. 41 della Costituzione, e, di conseguenza, la violazione del principio di legittimo affidamento, nonché della libertà di iniziativa economica. In aggiunta, sosteneva che la previsione della misura fissa della sanzione ad euro 50 mila avrebbe rappresentato una violazione dell’art. 3 della Costituzione e del divieto di automatismi legislativi nell’applicazione della sanzione.

La decisione del T.A.R Lazio

Il Tribunale amministrativo ha deciso di respingere il ricorso, sostenendo la non accoglibilità dei gravami dedotti dalla ricorrente.

In particolar modo, il T.A.R. ha colto l’occasione per ribadire quanto già le Linee Guida avevano specificato con riguardo all’ambito applicativo del divieto, nello specifico, a quello oggettivo.

Difatti, il giudice amministrativo ha valutato l’inserzione del collegamento ipertestuale quale pubblicità indiretta e non mera comunicazione informativa, tenendo in considerazione le modalità di confezionamento del messaggio (es. linguaggio utilizzato, elementi grafici e acustici, contesto di diffusione).

Il collegamento diretto ed univoco alla piattaforma di giochi aveva indubbiamente finalità promozionale, in quanto lo stesso link era di colore e di carattere diverso rispetto agli altri contenuti del sito e per tale ragione, attirava maggiormente l’attenzione dell’utente visitatore. Inoltre, il collegamento conduceva ad una pagina in cui erano sponsorizzati i migliori casinò online, promuovendo direttamente i portali, con relativi bonus di benvenuto. Non erano ravvisati caratteri meramente informativi, né richieste da parte dell’utente tali da rendere certe determinate informazioni.

Pertanto, la condotta della Società è stata ritenuta in violazione dell’art. 9 del D.L. n. 87 del 2018, in quanto la comunicazione consisteva in una promozione del gioco con vincite di denaro.

Con riguardo al secondo motivo, il giudice amministrativo ha disatteso il gravame della Società, in quanto – come in più pronunce ribadito dalla Corte di Giustizia dell’Unione europea, si ritengono legittime le restrizioni alla libertà di stabilimento e alle libertà di prestazione di servizio, per ragioni di ordine pubblico, di pubblica sicurezza e di sanità pubblica, o anche per motivi imperativi di interessi generali, tra i quali la tutela dei consumatori. Ne discendeva, quindi, la discrezionalità del legislatore nel decidere le azioni per contrastare la ludopatia. Pertanto, il predetto art. 9 non è in contrasto con le libertà sopradette, anzi si pone a tutela del consumatore e della salute pubblica.

Per ultimo, con riferimento alla possibile violazione dell’art. 41 e dell’art. 3 della Costituzione, il T.A.R Lazio ha rigettato altresì il terzo motivo, motivando in tal senso: i) non era configurabile una violazione dell’art. 41, in quanto l’apposizione di limiti rispondenti all’esercizio di utilità sociale non coincidono con una lesione della libertà di iniziativa economica, quanto in un bilanciamento tra interessi; ii) non si trattava di un automatismo legislativo nella determinazione della sanzione, in quanto, la norma prevede una forbice edittale, riconoscibile in quel 20 percento.

Brevi cenni conclusivi

Nonostante il dettato normativo risultasse già manifestamente lineare – con specifico riguardo alle Linee guida dell’AGCOM – con questa pronuncia, il T.A.R. ha senza alcun dubbio chiarito, non solo l’ambito oggettivo applicativo della disposizione in analisi, ma altresì la finalità della norma in un bilanciamento con altre disposizioni e i relativi diritti, libertà ed interessi in gioco nel nostro sistema legislativo.

Fabiola Iraci Gambazza

1 gazzettaufficiale.it/eli/id/20…. Il suddetto decreto-legge è stato convertito con modificazioni dalla legge n. 96 del 9 agosto 2018.

2agcom.it/documents/10179/14467….

3 Tra i principi e le finalità, sono menzionati i seguenti: protezione rafforzata delle categorie vulnerabili, con particolare riferimento ai minori e ai giocatori patologici; contrasto del gioco a pagamento illegale in contrapposizione all’offerta di gioco a pagamento autorizzata, tramite concessione, dall’Agenzia delle dogane e dei Monopoli; riconoscibilità dell’offerta di gioco a pagamento autorizzata rispetto a quella illegale, tramite l’utilizzo di appositi loghi elaborati dall’Agenzia delle dogane e dei monopoli; trasparenza sulle condizioni e servizi offerti, in modo da favorire decisioni di gioco consapevoli; rispetto del principio di proporzionalità.

L'articolo Tra i limiti del divieto di pubblicità al gioco d’azzardo: la recente pronuncia del TAR del Lazio proviene da E-Lex.

Lo Studio E-Lex è stato selezionato da ITA Airways spa, per il ruolo di Data Protection Officer, che verrà svolto come referente dal socio Avvocato Stefano Aterno.

Stefano Aterno, avvocato e docente universitario, ha, nell’associazione professionale, il ruolo di rafforzare l’impegno dello studio sul fronte della prevenzione e difesa nel delicato settore del diritto penale dell’informatica e degli aspetti giuridici della sicurezza informatica.

Conta su 25 anni di esperienza, sulla certificazione come Lead auditor ISO 27001, data protection UNI 11697:2017, e Forensic investigator (CIFI), ed autore di numerose pubblicazioni scientifiche su criminalità informatica e prova digitale, privacy e tutela dei dati personali.

Tra i suoi clienti figurano vari enti e organismi pubblici, aziende private e multinazionali per i quali ha svolto attività di consulenza; è stato, dalla fine degli anni 90 ad oggi, tra i difensori dei primi e più significativi processi penali in materia di privacy e reati informatici.

«Sono soddisfatto che l’esito della selezione abbia premiato la mia esperienza e specifica formazione – ha commentato Aterno – e soprattutto che il cliente abbia tenuto conto dell’apporto che l’intera squadra di E-Lex è capace di fornire all’attività. Diventare il DPO (Data protection officer) di ITA Airways è certamente un incarico prestigioso che svolgeremo al meglio insieme e grazie al contributo di tutto il Team di professionisti coinvolti».

Gli altri soci dello studio E-Lex Ernesto Belisario, Adriana Peduto, Dario Reccia e Giovanni Maria Riccio esprimono unanime soddisfazione per l’incarico e assicurano al cliente il massimo supporto per la sua esecuzione.

• Leggi la notizia su LegalCommunity.it
• Leggi la notizia su Diritto 24 Il Sole 24 Ore

L'articolo ITA sceglie E-Lex con un beauty contest e nomina l’avv. Stefano Aterno come DPO proviene da E-Lex.

Il Banning Surveillance Advertising Act proposto al Congresso americano vieterebbe alle aziende di utilizzare i dati degli utenti a fini pubblicitari (e non solo).

Col progredire della società dell’informazione, diventano sempre più evidenti i meccanismi economici della Rete. Le informazioni suscettibili di essere raccolte o estrapolate dalle nuove realtà digitali sono innumerevoli, e rappresentano la preziosa materia prima alla base di nuove industrie che fanno del mercato dei dati il proprio core business.

Spina dorsale di tale modello economico è senz’altro l’utilizzo di dati personali a fini pubblicitari. Dallo spot televisivo, indiscriminatamente rivolto a chiunque, si è infatti passati alla sottoposizione quasi sartoriale di annunci personalizzati per il singolo individuo, rivolti ad egli perché ritenuto interessato allo specifico oggetto o servizio pubblicizzato.

L’evoluzione della pubblicità, dunque, passa attraverso una ricerca spasmodica del coinvolgimento degli utenti, che deve tenere conto dei loro gusti, interessi, necessità e desideri. A tale scopo, i player del mercato degli annunci cercano di raccogliere quante più informazioni possibili sull’internauta, monitorandone le attività e i comportamenti e sottoponendogli esclusivamente i contenuti in grado di attirare la sua attenzione.

I rischi sottesi a tali pratiche di “sorveglianza pubblicitaria” non solo compromettono la protezione dei dati personali degli utenti o gli interessi dei consumatori, ma altresì fungono da carburante per discriminazione, disinformazione, polarizzazione delle opinioni e odio, al punto da minacciare le fondamenta stesse dell’ordine democratico e la sicurezza pubblica. Da simili considerazioni deriva la proposta di legge del Banning Surveillance Advertising Act, sottoposto di recente al Congresso degli Stati Uniti.

I rischi della sorveglianza pubblicitaria

Al fine di comprendere le ragioni del disegno di legge, bisogna considerare che troppo spesso gli interessi lucrativi dell’industria pubblicitaria prevalgono sulla garanzia dei diritti umani sia nella raccolta sia nel trattamento dei dati personali, operazioni non sempre condotte in presenza di ogni condizione di liceità e trasparenza.

La ragione di tali comportamenti è da rinvenirsi nella grande asimmetria informativa e di potere che governa i rapporti tra utente e fornitore di servizi della società dell’informazione. Il secondo, infatti, si serve delle autorizzazioni – conferite più o meno consapevolmente – a dispositivi, applicazioni e strumenti di tracciamento (es. i cookie) per l’accesso e la raccolta di informazioni. Il primo, d’altro canto, non sempre comprende a cosa sta acconsentendo e, pur capendolo, incontra molte resistenze e disservizi in caso di mancato consenso. Pertanto, residua sempre un grande squilibrio di potere, dettato principalmente da operazioni di raccolta dati pervasive e sostanzialmente inevitabili. Nelle parole di uno dei sostenitori della proposta di legge, James P. Steyer, fondatore di Common Sense Media, «tale pratica è così diffusa che i consumatori non possono evitarla senza evitare completamente Internet».

A ciò deve aggiungersi l’utilizzo che può essere fatto delle informazioni raccolte. La “sorveglianza pubblicitaria” si serve infatti di tecniche invisibili e invasive per manipolare i consumatori, derubandoli di una reale scelta di mercato, poiché annunci e contenuti saranno solo quelli che, in base agli algoritmi impiegati, sono ritenuti interessanti per il singolo utente, a scapito di alternative o beni e servizi succedanei.

Studiosi e commentatori hanno inoltre dimostrato che sorveglianza e profilazione vanno ben oltre i meri scopi pubblicitari. Sempre nella logica di ricerca del coinvolgimento dell’utente, l’odio, la violenza e la disinformazione fioriscono perché ottengono l’attenzione di grandi fette di audience. L’attuale sistema permette infatti a manipolatori e “disinformatori” di celare la propria identità e le loro intenzioni, al punto da impersonare movimenti sociali, imprese, individui per scopi di ingegneria sociale o politica. Sottoporre contenuti selezionati si traduce dunque in una potente arma di disinformazione, in grado di polarizzare ed estremizzare le opinioni. Si aggiunga che, stante il prevalente interesse lucrativo, profili dettagliati su innumerevoli persone sono pronti per essere sfruttati da qualsiasi parte disposta a pagare, compresi hacker malintenzionati o servizi segreti stranieri.

Per tutte queste ragioni, chi scrive ritiene che la corretta traduzione di “surveillance advertising” non sia tanto “pubblicità di sorveglianza”, bensì “sorveglianza pubblicitaria”, giacché il mezzo pubblicitario è oggi solo strumentale al più complesso elemento del controllo e del monitoraggio degli individui, perpetrato per finalità più ampie e pericolose della mera sottoposizione di annunci mirati.

Il Banning Surveillance Advertising Act

Lo scorso 12 gennaio, l’On. Eshoo e il Sen. Booker hanno presentato al Congresso degli Stati Uniti una proposta di legge con il primario obiettivo di vietare le pratiche di raccolta dei dati personali e tracciamento del comportamento degli individui onde sottoporgli annunci su misura. Le categorie di soggetti cui sarebbe rivolto il divieto sono due:

• i c.d. “facilitatori” pubblicitari (advertising facilitator), ossia coloro che, dietro corrispettivo, trattano dati personali per offrire spazi e canali preferenziali per la diffusione di annunci; e
• gli inserzionisti pubblicitari (advertiser), ossia coloro che forniscono un corrispettivo a un facilitatore per la diffusione di pubblicità personalizzate.

Il disegno di legge vieterebbe ai facilitatori non solo di compiere la diffusione di annunci mirati, ma altresì di permettere consapevolmente a un inserzionista o a una terza parte di svolgere la medesima attività mediante la fornitura di informazioni relative a persone o dispositivi connessi. L’utilizzo per scopi pubblicitari di tali informazioni sarà consentito solo se il facilitatore riceve dall’inserzionista un’attestazione scritta di conformità, che comprovi il rispetto dei divieti suesposti.

Per converso, il divieto grava anche sugli inserzionisti, che non possono compiere né consentire a facilitatori o terzi di compiere una diffusione di annunci mirati in base a informazioni personali acquisite da terzi o che, in ogni caso, identifichino l’individuo come membro di una classe protetta o ragionevolmente permettano l’identificazione anche indiretta della persona.

La legge, inoltre, rende esplicito che non rientra nel divieto la c.d. pubblicità contestuale, che avviene quando l’annuncio è diffuso in base a informazioni che l’individuo sta attualmente visualizzando o con le quali sia altrimenti coinvolto, o informazioni oggetto di ricerca da parte dell’utente, o quando i contenuti mostrati o in altro modo diffusi siano di stretta prossimità con tali informazioni. I dati così raccolti, però, non potranno essere utilizzati per la diffusione mirata di ulteriori annunci.

Una violazione di tale legge sarà considerata come pratica sleale o ingannevole ai sensi del Federal Trade Commission Act. Sarà infatti la Federal Trade Commission a garantire il rispetto della legge, a promulgare i regolamenti applicativi della medesima e a esercitare poteri di indagine e sanzionatori. La FTC avrà inoltre competenza per i procedimenti relativi a ogni violazione della normativa in questione.

L’applicazione della legge riguarda però anche i singoli Stati americani. In ogni caso in cui abbia motivo di ritenere che l’interesse di uno dei residenti di uno Stato sia compromesso da una violazione della normativa in questione, il procuratore generale dello Stato può intentare un’azione civile presso la competente corte distrettuale o statale a fini risarcitori, previa notifica alla FTC che può intervenire o anche avocare a sé il caso.

Inoltre, ogni individuo potrà intentare un’azione civile presso il tribunale competente, al fine di ottenere un risarcimento fino a 1.000 dollari in caso di violazione per colpa lieve (negligent violation) e fino a 5.000 dollari in caso di violazione per colpa grave o intenzionale (reckless, knowing, willful or intentional violation). È interessante sottolineare come, in caso di violazione di dati personali, la legge ritenga sussistente un danno di fatto, concreto e particolare, in tal modo ammettendo una presunzione da cui il trasgressore potrà liberarsi soltanto fornendo prova della sua non colpevolezza (similarmente al modello della responsabilità semi-oggettiva adottato dal GDPR e dalla normativa italiana).

Infine, è prevista la nullità di qualsiasi accordo o clausola che, relativamente a tali controversie, sancisca il preventivo deferimento ad arbitrato o la rinuncia ad azioni congiunte.

Conclusioni

È peculiare che tale disegno di legge provenga dalla “patria” delle più grandi aziende Big Tech, monopoliste del mercato dei dati personali, come Google o Meta. La proposta, in effetti, sembra più che altro seguire le posizioni da tempo fatte proprie dall’Unione europea, a partire dalle normative in materia di data protection e responsabilizzazione delle piattaforme online. In tal senso, è recentissima l’approvazione, da parte del Parlamento europeo, del testo del Digital Services Act, che a sua volta estenderebbe il divieto di pubblicità targettizzata, garantirebbe maggiore libertà di espressione e pluralismo nei media e contribuirebbe a combattere le discriminazioni.

Tale fenomeno di convergenza rappresenta un importante passo verso nuovi modelli economici online, che favorirebbero un miglior coordinamento internazionale tra mercati e istituzioni. Sotto questa luce, il Banning Surveillance Advertising Act potrà rappresentare un incentivo nelle trattative UE-USA per la negoziazione di un nuovo accordo per il trasferimento transatlantico di dati personali che, con la caduta del Safe Harbor prima e del Privacy Shield poi, è attualmente consentito solo facendo ricorso alle Clausole Contrattuali Standard promulgate dalla Commissione europea.

In ogni caso, resta che l’adozione di leggi in grado di fermare la “sorveglianza pubblicitaria” assume portata epocale, poiché risponde a forti esigenze etiche e sociali. «È giunto il tempo per una legge. Un divieto di sorveglianza pubblicitaria inizierà a invertire il processo di crescita sfrenata di questo potere irresponsabile, affermando finalmente lo stato di diritto e la governance democratica sulle infrastrutture critiche della nostra società dell’informazione. Il Banning Surveillance Advertising Act intraprende questo progetto cruciale», ha sostenuto Shoshana Zuboff, professore emerito alla Harvard Business School e autore del celebre Il Capitalismo della Sorveglianza. «Grazie, Onorevole Eshoo e Senatore Booker per la vostra lungimiranza e il vostro coraggio. La vostra guida può spianare la strada a un futuro alternativo – lontano dalla distopia e verso una democrazia sana. Se non agiamo ora, un futuro democratico e digitale diventerà ancora più difficile da raggiungere. Non è troppo tardi, ma non c’è tempo da perdere».

Jacopo Purificati

L'articolo UNA PROPOSTA DI LEGGE CONTRO LE PRATICHE DI “SORVEGLIANZA PUBBLICITARIA” proviene da E-Lex.

Lo scorso 13 gennaio, il Garante Privacy ha emesso parere favorevole circa lo “Schema di decreto del Presidente della Repubblica concernente regolamento recante sostituzione del regolamento di cui al decreto del Presidente della Repubblica 7 settembre 2010, n. 178, in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali”. La bozza dell’atto legislativo ha recepito le osservazioni sollevate dall’Authority e la normativa nazionale ha colmato le lacune di disciplina che frenavano l’esito positivo della consultazione avviata.

Con provvedimento n. 3 del 13 gennaio 2022 il Garante per la Protezione dei Dati Personali ha emesso parere favorevole al nuovo “Schema di decreto del Presidente della Repubblica concernente regolamento recante sostituzione del regolamento di cui al decreto del Presidente della Repubblica 7 settembre 2010, n. 178, in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali”.

Lo Schema di decreto in esame deve sostituire il regolamento di cui al d.P.R. 7 settembre 2010, n. 178 e s.m.i., intervenendo sulla disciplina del Registro Pubblico delle Opposizioni (RPO) al fine di estenderne l’operatività alle numerazioni telefoniche nazionali, sia fisse che mobili, non incluse in elenchi dei contraenti.

Trattandosi di un atto legislativo relativo al trattamento dei dati, il Ministero dello sviluppo economico attivava la procedura di cui all’art. 36, par. 4, GDPR, chiedendo un consulto all’Authority circa la conformità dello Schema di decreto alle disposizioni della normativa in materia di trattamento dei dati personali.

Nel parere il Garante ripercorre le tappe che hanno segnato la fase di interlocuzione con il Mise ed evidenzia gli obiettivi raggiunti nell’ambito della consultazione, come l’accoglimento delle osservazioni espresse dal Garante con due precedenti pareri.

Rileva, poi, che le perplessità sollevate con l’ultima nota del 24 giugno 2021 sono state superate dall’emanazione del D.L. n. 139 dell’8 ottobre 2021, il quale ha provveduto ad estendere l’efficacia revocatoria del consenso derivante dall’inscrizione al registro anche alle chiamate eseguite con modalità automatizzate.

In ragione della complessiva ragionevolezza delle soluzioni proposte a seguito della novella legislativa, dunque, il Garante ha ritenuto non residuassero rilievi ulteriori da esprimere e ha emesso parere favorevole all’adozione dello Schema di decreto.

Grazie alle modifiche operate, i consumatori potranno opporsi alla ricezione sia delle chiamate indesiderate eseguite tramite operatore, che di quelle effettuate con l’uso di sistemi automatizzati, modalità di contatto che sino ad ora era sfuggita alle limitazioni sancite dalla disciplina previgente.

L’iscrizione al RPO comporterà poi, tra le altre cose, la revoca dei precedenti consensi espressi dai consumatori, così da evitare il perdurare di eventuali abusi.

Il 21 gennaio u.s. il Consiglio dei Ministri si è riunito a Palazzo Chigi per discutere, tra le altre cose, lo Schema di d.P.R., approvandolo in esame definitivo.

Brevemente, si rammentano le novità più rilevanti che comporterà l’adozione del decreto:

• sarà regolamentato il trattamento delle numerazioni telefoniche mediante l’impiego del telefono e l’invio di posta cartacea per la diffusione di materiale pubblicitario o la vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.;
• la disciplina del RPO verrà estesa a tutte le numerazioni nazionali fisse e mobili, comprendendo anche quelle non riportate negli elenchi telefonici, cartacei o elettronici, attualmente escluse;
• verrà estesa anche alle comunicazioni via posta cartacea la possibilità per gli utenti di indicare i soggetti nei confronti dei quali intendono revocare l’opposizione al trattamento dei dati personali.

Maria Vittoria Aprigliano

L'articolo Telemarketing e Registro delle opposizioni: il Garante Privacy emette parere favorevole sullo Schema di decreto del Presidente della Repubblica. proviene da E-Lex.